Exploit DarkSword mira iOS 18 desatualizado e expõe iPhones e iPads a ataques silenciosos
Usuários de iPhones e iPads que ainda rodam versões vulneráveis do iOS 18 em modelos recentes estão na mira de um exploit kit avançado batizado de DarkSword. Segundo a própria Apple, em muitos casos basta acessar um site comprometido ou visualizar um anúncio malicioso para que o dispositivo seja infectado – sem que o usuário clique em nada ou realize qualquer ação adicional.
Isso significa que a simples navegação na web, em redes sociais ou em páginas com publicidade não filtrada já pode ser suficiente para que o ataque seja disparado, explorando falhas presentes no sistema operacional antes de as correções serem aplicadas.
Como o DarkSword foi descoberto
O DarkSword ganhou destaque público no mês passado, após análises conduzidas por Google, Lookout e iVerify. As empresas identificaram que o kit de exploração se apoia em um conjunto de seis vulnerabilidades diferentes no ecossistema Apple, construídas em cadeia para permitir desde a execução de código até a escalada de privilégios no sistema.
Entre essas falhas, três chamaram mais atenção porque, no momento em que o exploit começou a ser utilizado em ataques reais, ainda não havia correções disponíveis:
– CVE-2026-20700
– CVE-2025-43529
– CVE-2025-14174
A Apple afirma que todas essas vulnerabilidades já contam com patch e que a proteção está disponível para modelos compatíveis com o iOS e iPadOS 18.7.7, desde que os usuários efetuem a atualização.
Origem do exploit kit e uso em ciberespionagem
De acordo com as análises técnicas, o DarkSword não é uma ferramenta amadora. As evidências apontam que ele teria sido desenvolvido por um fornecedor especializado em spyware, com foco em ataques dirigidos, e posteriormente utilizado por um ator estatal em campanhas de ciberespionagem.
Inicialmente, o kit teria sido empregado para monitorar alvos específicos, com grande ênfase em coleta sigilosa de dados, geolocalização e comunicação. Com o tempo, porém, o cenário se agravou: cibercriminosos também teriam obtido acesso ao DarkSword no fim do ano passado, ampliando a superfície de ataque e aumentando a chance de uso em fraudes em larga escala.
Poucos dias após a divulgação das descobertas por Google, Lookout e iVerify, o exploit kit – ou partes importantes de seu código – apareceu em repositórios públicos de desenvolvedores, o que facilita ainda mais a disseminação, estudo, modificação e reaproveitamento por grupos maliciosos.
Atualizações da Apple: iOS e iPadOS 18.7.7
Para responder à ameaça, a Apple disponibilizou o iOS e o iPadOS 18.7.7 em 24 de março, versões que corrigem diversas vulnerabilidades críticas, incluindo as exploradas pelo DarkSword. A princípio, essa atualização foi liberada apenas para um conjunto limitado de dispositivos:
– iPhone XS
– iPhone XS Max
– iPhone XR
– iPad de 7ª geração
Em um segundo momento, a empresa ampliou a base de aparelhos contemplados. Segundo comunicado, a partir de 1º de abril o iOS 18.7.7 passou a ser oferecido para mais modelos, o que inclui outros iPhones e iPads compatíveis com o iOS 18.
A Apple ressalta que os usuários com Atualizações Automáticas ativadas começaram a receber as correções de forma transparente, reforçando que se trata de “medidas de segurança importantes contra ataques web chamados DarkSword”. A companhia também afirmou que as atualizações relacionadas especificamente a esse exploit começaram a ser disponibilizadas em 2025, mas não detalhou em quais versões anteriores parte das correções já estava presente.
Por que o DarkSword é tão perigoso
O que torna o DarkSword especialmente preocupante é a combinação de três fatores:
1. Ataque sem interação: não é necessário clicar em links suspeitos ou instalar aplicativos estranhos. Um simples carregamento de página pode iniciar o processo de exploração.
2. Uso de múltiplas falhas: ao encadear seis vulnerabilidades, o kit aumenta as chances de sucesso, contorna camadas de proteção e eleva o nível de controle obtido sobre o dispositivo.
3. Origem profissional e uso por Estados: o envolvimento de fornecedor de spyware e ator estatal indica que o kit foi projetado para ser eficiente, furtivo e resiliente, com foco em espionagem de alto valor.
Em cenários assim, ataques podem focar em perfis específicos, como executivos, jornalistas, diplomatas ou profissionais com acesso a informação sensível, mas o vazamento do kit para o submundo do cibercrime abre caminho para que qualquer usuário desatualizado se torne alvo.
O que pode acontecer se o iPhone for infectado
Uma vez que o DarkSword explora com sucesso as falhas do iOS, o atacante pode obter diversos tipos de acesso, a depender da configuração do exploit e do objetivo da campanha. Entre os riscos potenciais estão:
– Coleta de mensagens, e-mails e histórico de chamadas
– Monitoramento de localização em tempo real
– Acesso a fotos, arquivos e anotações
– Interceptação de tráfego web e credenciais
– Instalação persistente de spyware para acompanhar a vítima por longos períodos
Em ataques patrocinados por Estados, é comum que os operadores priorizem a discrição, evitando sinais visíveis de comprometimento para manter o monitoramento por meses ou anos. Isso torna ainda mais importante reduzir ao máximo a exposição, mantendo o sistema sempre atualizado.
Como saber se seu dispositivo está vulnerável
O fator determinante é a versão do sistema operacional. Para verificar:
1. Acesse Ajustes do iPhone ou iPad.
2. Toque em Geral.
3. Selecione Sobre.
4. Verifique o número da versão em Versão do iOS/iPadOS.
Se o aparelho ainda estiver em uma versão anterior ao iOS ou iPadOS 18.7.7 e for um modelo compatível com essa atualização, recomenda-se atualizar imediatamente. Dispositivos que não suportam mais novas versões do sistema ficam mais expostos, pois deixam de receber correções de segurança.
Como reduzir o risco de ser vítima do DarkSword
Além de atualizar o sistema, algumas práticas ajudam a diminuir a probabilidade de exploração bem-sucedida:
– Ativar Atualizações Automáticas: em Ajustes > Geral > Atualização de Software > Atualizações Automáticas, mantenha a instalação automática habilitada.
– Evitar navegação em sites desconhecidos: sobretudo páginas que exibem pop-ups insistentes ou conteúdo pirateado.
– Cautela com redes Wi-Fi públicas: mesmo sem ser requisito direto para o DarkSword, redes abertas aumentam o risco de exposição a conteúdo malicioso.
– Manter apps atualizados: embora o foco aqui seja o sistema, aplicativos desatualizados podem ser usados em cadeia com outras falhas.
– Monitorar comportamento estranho: aquecimento anormal, consumo excessivo de bateria ou uso de dados sem explicação podem indicar atividade suspeita, embora não sejam prova conclusiva.
Dispositivos corporativos sob risco
Empresas que adotam iPhones e iPads como parte de seu parque de dispositivos corporativos precisam redobrar a atenção. Uma infecção por DarkSword em um aparelho usado para acessar e-mails corporativos, VPN, sistemas internos ou dados de clientes pode se transformar em porta de entrada para ataques mais amplos, incluindo roubo de propriedade intelectual ou credenciais de alto privilégio.
É fundamental que times de TI e segurança:
– Exijam a atualização obrigatória para a versão 18.7.7 ou superior em todos os dispositivos gerenciados.
– Utilizem soluções de MDM (gerenciamento de dispositivos móveis) para aplicar políticas de segurança.
– Monitorem indicadores de compromisso e logs de acesso suspeitos.
– Treinem colaboradores sobre riscos de espionagem móvel e manipulação de conteúdo malicioso.
E se o dispositivo não for mais suportado?
Usuários de aparelhos antigos, que já não recebem novas versões do iOS, ficam em uma situação delicada. Nessas condições, mesmo que o DarkSword seja ajustado para explorar apenas versões mais recentes, nada impede que outros kits semelhantes sejam desenvolvidos mirando sistemas legados.
Algumas medidas possíveis:
– Limitar o uso do aparelho a tarefas menos sensíveis, evitando contas bancárias, e-mails de trabalho e dados críticos.
– Desativar, sempre que possível, o uso do navegador principal e instalar soluções de segurança em camadas (como DNS filtrado, firewalls de rede e monitoramento em roteadores).
– Avaliar a substituição do dispositivo como parte da estratégia de proteção de dados pessoais e profissionais.
A importância de encarar o patch como rotina, não exceção
O caso DarkSword reforça um ponto muitas vezes negligenciado: atualizações de segurança não são um mero incômodo ou detalhe técnico, mas sim a principal barreira entre vulnerabilidades conhecidas e ataques em larga escala.
Quando um exploit sofisticado migra de operações secretas de espionagem estatal para o arsenal de cibercriminosos, a janela entre a divulgação pública e o uso massivo tende a ser curta. Quem demora para aplicar correções acaba servindo de alvo mais fácil, justamente porque os invasores sabem que uma parcela relevante dos usuários ignora avisos de atualização.
Para o ecossistema Apple, que tradicionalmente é percebido como mais seguro, incidentes como o DarkSword lembram que nenhum sistema é imune. Segurança, neste contexto, passa a depender menos do mito de “plataforma inviolável” e mais da disciplina de manter o software sempre no estado mais atualizado possível, combinado a hábitos de uso conscientes.
Em resumo, quem utiliza iPhone ou iPad compatível com o iOS ou iPadOS 18.7.7 deve priorizar essa atualização sem demora. Ignorar o alerta abre espaço para que ferramentas de espionagem de nível avançado se transformem em armas acessíveis para uma gama cada vez maior de atacantes, com impacto direto na privacidade e na segurança de dados pessoais e corporativos.